نصب و راه اندازی فایروال – بیش از 25 سال است که فایروال ها اولین خط دفاعی در امنیت شبکه هستند. آنها بین شبکه های داخلی ایمن و کنترل شده که می توانند مورد اعتماد و غیرقابل اعتماد شبکه های خارجی مانند اینترنت باشند، سدی ایجاد می کنند. فایروال می تواند سخت افزاری، نرم افزاری یا هر دو باشد.
فایروال چیست؟
فایروال یک نرم افزار یا سیستم عامل است که از دسترسی غیر مجاز به شبکه جلوگیری می کند. فایروال، ترافیک ورودی و خروجی را با استفاده از مجموعه ای از قوانین برای شناسایی و مسدود کردن تهدید ها بررسی می کند. فایروال یک دستگاه امنیتی شبکه است که ترافیک ورودی و خروجی شبکه را زیر نظر دارد و بسته های داده را بر اساس مجموعه ای از قوانین امنیتی مجاز یا مسدود می کند. هدف آن ایجاد یک مانع بین شبکه داخلی شما و ترافیک ورودی از منابع خارجی (مانند اینترنت) به منظور جلوگیری از ترافیک مخرب مانند ویروس ها و هکر ها است.
فایروال ها در تنظیمات شخصی و سازمانی استفاده می شوند و بسیاری از دستگاه ها دارای یک سیستم داخلی فایروال در خود هستند، از جمله رایانه های مک، ویندوز و لینوکس. فایروال ها به طور گسترده ای جز اساسی امنیت شبکه محسوب می شوند.
- بیشتر بخوانید: امنیت شبکه چیست؟ آشنایی با انواع امنیت شبکه
چرا فایروال ها مهم هستند؟
فایروال ها مهم هستند زیرا آنها تأثیر زیادی در تکنیک های امنیتی مدرن داشتند و هنوز هم به طور گسترده مورد استفاده قرار می گیرند. آنها اولین بار در روز های اولیه استفاده از اینترنت ظاهر شدند، زمانی که شبکه ها به روش های امنیتی جدیدی نیاز داشتند که بتواند پیچیدگی فزاینده را کنترل کند. از آن زمان فایروال ها پایه امنیت شبکه در مدل سرویس گیرنده-مشتری-معماری مرکزی محاسبات مدرن شده اند. اکثر دستگاه ها از فایروال – یا ابزار های مشابه – برای بازرسی ترافیک و کاهش تهدیدات استفاده می کنند.
موارد استفاده فایروال ها
فایروال ها هم در محیط های شرکتی و هم در محیط مصرفی استفاده می شوند. سازمان های مدرن آنها را در یک استراتژی اطلاعات امنیتی و مدیریت رویداد (SIEM) همراه با سایر دستگاه های امنیت سایبری گنجانده اند. فایروال ها ممکن است در محیط شبکه یک سازمان برای محافظت در برابر تهدید های خارجی یا در داخل شبکه برای ایجاد تقسیم بندی و محافظت در برابر تهدید های داخلی، نصب شوند.
علاوه بر دفاع فوری برابر تهدید، فایروال ها عملکرد های مهم ورود به سیستم و حسابرسی را انجام می دهند. آنها رویداد هایی را ثبت می کنند که توسط مدیران برای شناسایی الگو ها و بهبود مجموعه قوانین استفاده می شود. قوانین باید به طور مرتب به روز شوند تا با تهدیدات افزاینده امنیت سایبری هماهنگ شوند. فروشندگان تهدید های جدیدی را کشف کرده و پچ هایی را برای پوشش آنها در اسرع وقت ایجاد می کنند.
در یک شبکه خانگی تکی، یک فایروال می تواند ترافیک را فیلتر کرده و کاربر را از نفوذ ها آگاه کند. فایروال ها مخصوصاً برای اتصالات همیشه روشن مانند DSL یا مودم کابلی مفید هستند، زیرا این نوع اتصالات از IP آدرس های ثابت استفاده می کنند. فایروال ها اغلب در کنار برنامه های آنتی ویروس استفاده می شوند. فایروال های شخصی، بر خلاف انواع شرکت ها، معمولاً یک محصول واحد هستند و برخلاف مجموعه ای از محصولات مختلف می باشند. آنها ممکن است نرم افزاری یا دستگاهی با سیستم عامل فایروال تعبیه شده باشند. فایروال های سخت افزاری/ میان افزار اغلب برای تعیین محدودیت بین دستگاه های خانگی استفاده می شود.
فایروال چگونه کار می کند؟
یک فایروال مرزی بین یک شبکه خارجی و شبکه ای که از آن محافظت می کند، ایجاد می کند. به صورت خطی در سراسر اتصال شبکه درج شده و تمام بسته هایی را که وارد و از شبکه محافظت شده خارج می شوند، بررسی می کند. همانطور که بررسی می کند ، از مجموعه ای از قوانین از پیش تنظیم شده برای تمایز بین بسته های مفید و مخرب استفاده می کند.
اصطلاح “Packets یا بسته ها” به قطعاتی از داده ها گفته می شود که برای انتقال اینترنت قالب بندی شده اند. بسته ها حاوی خود داده ها و همچنین اطلاعات مربوط به داده ها هستند، مانند اینکه از کجا آمده است. فایروال ها می توانند از این اطلاعات بسته برای تعیین اینکه آیا بسته ای از مجموعه قوانین پیروی می کند یا خیر استفاده کنند. در غیر این صورت، بسته از ورود به شبکه محافظت شده، منع می شود.
مجموعه قوانین می تواند بر اساس چندین مورد نشان داده شده توسط بسته های داده باشد، از جمله :
- منبع آنها
- مقصد آنها
- محتوای آنها
این ویژگی ها ممکن است در سطوح مختلف شبکه به شکل متفاوتی نمایش داده شوند. هنگامی که یک بسته از طریق شبکه در حال حرکت است، چندین بار مجدداً قالب بندی می شود تا به پروتکل بگوید که به کجا باید آن را ارسال کند. انواع مختلفی از فایروال ها برای خواندن بسته ها در سطوح مختلف شبکه وجود دارد.
انواع فایروال ها
فایروال ها یا بر اساس نحوه فیلتر کردن داده ها و یا بر اساس سیستمی که محافظت می کنند، طبقه بندی می شوند.
هنگام طبقه بندی بر اساس آنچه که محافظت می کنند، دو نوع عبارتند از : مبتنی بر شبکه و مبتنی بر هاست. فایروال های مبتنی بر شبکه از کل شبکه ها محافظت می کنند و اغلب سخت افزاری هستند. فایروال های مبتنی بر هاست از دستگاه های فردی-که به عنوان هاست معروف هستند-محافظت می کنند و اغلب نرم افزاری هستند.
پس، فایروال ها می توانند نرم افزاری یا سخت افزاری باشند، اگرچه بهتر است هر دو را داشته باشید. فایروال نرم افزاری برنامه ای است که بر روی هر رایانه نصب شده و تردد را از طریق شماره پورت ها و برنامه های کاربردی تنظیم می کند، در حالی که فایروال فیزیکی قطعه ای از تجهیزات است که بین شبکه و گیت شما نصب شده است.
هنگام طبقه بندی با روش فیلترینگ، انواع اصلی عبارتند از :
- یک فایروال packet-filtering که بسته ها را جداگانه بررسی می کند و زمینه بسته را نمی داند.
- یک فایروال stateful inspection که حالت ترافیک شبکه را بررسی می کند تا مشخص شود که آیا یک بسته به بسته دیگری مربوط است یا خیر.
- یک فایروال proxy (معروف به application-level gateway) بسته ها را در لایه برنامه مدل مرجع Open Systems Interconnection (OSI) بررسی می کند.
- فایروال Next Generation یا (NGFW) از رویکرد چند لایه برای ادغام قابلیت های فایروال سازمانی با سیستم پیشگیری از نفوذ (IPS) و کنترل برنامه استفاده می کند.
هر نوع از این فایروال ها، ترافیک را با سطح زمینه بالاتری نسبت به حالت قبل بررسی می کند-یعنی، stateful زمینه بیشتری نسبت به packet-filtering دارد.
فایروال های Packet-filtering یا پالایش کننده بسته های اطلاعاتی
وقتی یک بسته از فایروال packet-filtering عبور می کند، آدرس مبدا و مقصد، پروتکل و شماره پورت مقصد بررسی می شود. بسته با مجموعه قوانین فایروال مطابقت ندارد – به این معنی که به مقصد ارسال نشده است – حذف می شود. به عنوان مثال، اگر یک فایروال با یک قانون برای مسدود کردن دسترسی Telnet پیکربندی شده باشد، فایروال بسته هایی را که برای پورت شماره 23 پروتکل کنترل انتقال (TCP) در نظر گرفته شده اند، پورت که در آن برنامه سرور Telnet در حال اجرا است، رها می کند.
یک فایروال packet-filtering عمدتا بر روی لایه شبکه مدل مرجع OSI کار می کند، اگرچه از لایه انتقال برای بدست آوردن شماره پورت مبدا و مقصد استفاده می شود. هر بسته را به طور مستقل مورد بررسی قرار می دهد و نمی داند که آیا هر بسته ای بخشی از یک جریان ترافیک موجود است یا خیر.
این نوع فایروال موثر است، اما چون هر بسته را به صورت جداگانه پردازش می کند، می تواند در برابر حملات جعل IP آسیب پذیر باشد و تا حد زیادی توسط فایروال های stateful inspection جایگزین شده است.
فایروال های stateful inspection یا نظارت وضعیت
فایروال های stateful inspection که به عنوان فایروال های پالایش بسته پویا نیز شناخته می شوند-بسته های ارتباطی را در طول زمان رصد کرده و بسته های ورودی و خروجی را بررسی می کنند.
این نوع فایروال ها دارای یک جدول است که همه اتصالات باز را پیگیری می کند. هنگامی که بسته های جدید وارد می شوند، اطلاعات موجود در سربرگ بسته را با جدول حالت مقایسه می کند – لیست اتصالات معتبر آن – و تعیین می کند که آیا این بسته بخشی از یک اتصال برقرار شده است یا خیر. در صورت وجود، بسته بدون تجزیه و تحلیل بیشتر آزاد می شود. اگر بسته با اتصال فعلی مطابقت نداشته باشد، طبق قانون تعیین شده برای اتصالات جدید ارزیابی می شود.
اگرچه فایروال های stateful inspection بسیار مفید هستند، اما می توانند در برابر حملات انکار سرویس (DoS) آسیب پذیر باشند. حملات DoS با استفاده از اتصالات ایجاد شده که به طور کلی این نوع آنها بی خطر می دانند، کار می کند.
فایروال مدیریت تهدید یکپارچه (UTM)
یک دستگاه UTM به طور معمول، عملکرد های فایروال stateful inspection را با جلوگیری از نفوذ و آنتی ویروس ترکیب می کند. همچنین ممکن است شامل خدمات اضافی و اغلب مدیریت ابر باشد. UTM ها بر سادگی و سهولت استفاده تمرکز می کنند.
فایروال های Proxy
این نوع همچنین ممکن است به عنوان فایروال مبتنی بر پراکسی یا پروکسی معکوس شناخته شود. آنها فیلتر لایه برنامه را ارائه می دهند و می توانند بار یک بسته را بررسی کنند تا درخواست های معتبر را از کد مخرب که به عنوان یک درخواست معتبر برای داده ها تشخیص داده شده است، تشخیص دهد. با متداول شدن حملات علیه سرور های وب، مشخص شد که نیاز به فایروال برای محافظت از شبکه ها در برابر حملات در لایه برنامه وجود دارد. فایروال های packet-filtering و stateful inspection نمی توانند این کار را در لایه برنامه انجام دهند.
از آنجا که این نوع محتوای بار یا پی لود را بررسی می کند، به مهندسین امنیت امکان کنترل دقیق تری بر ترافیک شبکه می دهد. به عنوان مثال، می تواند یک دستور Telnet ورودی خاص از یک کاربر خاص را مجاز یا رد کند، در حالی که انواع دیگر فایروال ها فقط می توانند درخواست های ورودی عمومی از یک میزبان خاص را کنترل کنند.
وقتی این نوع فایروال بر روی یک سرور پروکسی عمل می کند – که آن را به یک فایروال پروکسی تبدیل می کند – کشف یک مکان واقعی در شبکه را برای مهاجم سخت می کند و یک لایه امنیتی دیگر ایجاد می کند. هر دو سرویس گیرنده و سرور مجبور هستند کار را با واسطه انجام دهند – سرور پروکسی که فایروال لایه برنامه را میزبانی می کند. هر بار که یک سرویس گیرنده خارجی درخواست اتصال به سرور داخلی یا برعکس را دارد، سرویس گیرنده به جای آن، ارتباطی با پروکسی باز می کند. اگر درخواست اتصال با معیار های موجود در پایه قوانین فایروال مطابقت داشته باشد، فایروال پروکسی اتصال به سرور درخواست شده را باز می کند.
مهمترین مزیت فیلترینگ لایه برنامه این است که می توانید محتوای خاصی مانند بدافزار های شناخته شده یا وب سایت های خاص را مسدود کرده و تشخیص دهید چه موقع برخی برنامه ها و پروتکل ها مانند پروتکل انتقال ابرمتن (HTTP)، پروتکل انتقال فایل (FTP) و سیستم نام دامنه یا DNS مورد سو استفاده قرار می گیرد. همچنین می توان از قوانین فایروال لایه برنامه برای کنترل اجرای فایل ها یا مدیریت داده ها توسط برنامه های خاص استفاده کرد.
فایروال های NAT
فایروال های NAT به چندین دستگاه با آدرس شبکه مستقل اجازه می دهد با استفاده از یک آدرس IP واحد به اینترنت متصل شوند و آدرس های IP فردی را مخفی نگه دارند. در نتیجه، مهاجمان که یک شبکه را برای آدرس IP اسکن می کنند، نمی توانند جزئیات خاصی را ضبط کنند و امنیت بیشتری در برابر حملات ایجاد می کنند. فایروال های NAT شبیه فایروال های پروکسی هستند از این نظر که به عنوان واسطه بین گروهی از رایانه ها و ترافیک خارجی عمل می کنند.
فایروال های NGFW
این نوع فایروال ترکیبی از انواع دیگر با نرم افزار های امنیتی اضافی و دستگاه های همراه است. هر نوع فایروال دارای نقاط قوت و ضعف خاص خود است، برخی از شبکه ها در لایه های مختلف مدل OSI محافظت می کنند. مزیت NGFW این است که نقاط قوت هر کدام را دارد و نقاط ضعف هر کدام را پوشش می دهد. NGFW اغلب مجموعه ای از فناوری ها تحت یک نام در مقابل یک جز واحد است.
محیط های شبکه مدرن دارای تعداد زیادی ورودی و انواع مختلف کاربران است که کنترل دسترسی قوی تر و امنیت در هاست مورد نیاز است. این نیاز به رویکرد چند لایه منجر به ظهور NGFW ها شده است.
NGFW سه فاکتور اصلی را ادغام می کند : قابلیت های فایروال قدیمی، آگاهی از برنامه و IPS. مانند معرفی stateful inspection به فایروال های نسل اول، NGFW ها زمینه دیگری را برای فرایند تصمیم گیری فایروال به ارمغان می آورند.
NGFW ها قابلیت های فایروال های سازمانی سنتی- از جمله ترجمه آدرس شبکه (NAT)، مسدود کردن منبع یکنواخت (URL) و شبکه های خصوصی مجازی (VPN)- را با عملکرد و ویژگی های کیفیت خدمات (QoS) ترکیب می کنند. محصولات نسل NGFW ها از شبکه های مبتنی بر قصد استفاده می کنند که شامل Secure Sockets Layer (SSL) و Secure Shell (SSH) بازرسی و تشخیص بدافزار های مبتنی بر شهرت است. NGFW ها همچنین از بازرسی بسته های عمیق (DPI) برای بررسی محتویات بسته ها و جلوگیری از ورود بدافزار ها استفاده می کنند.
هنگامی که از NGFW یا هر فایروال در ارتباط با سایر دستگاه ها استفاده می شود، به آن مدیریت تهدید یکپارچه (UTM) می گویند.
طبق تعریف Gartner، Inc.، فایروال NGFW باید شامل موارد زیر باشد :
- قابلیت های استاندارد فایروال مانند stateful inspection
- پیشگیری از نفوذ یکپارچه
- آگاهی و کنترل برنامه برای مشاهده و مسدود کردن برنامه های خطرناک
- مسیر ها را ارتقا دهد تا شامل فید های اطلاعاتی آینده شود
- تکنیک هایی برای مقابله با تهدیدات امنیتی در حال توسعه
در حالی که این قابلیت ها به طور فزاینده ای برای اکثر شرکت ها به استاندارد تبدیل می شود، NGFW ها می توانند کارهای بیشتری انجام دهند.
NGFW تهدید محور یا Threat-focused
این فایروال ها شامل تمام قابلیت های NGFW سنتی است و همچنین تشخیص و رفع تهدیدات پیشرفته را ارائه می دهد. با این NGFW می توانید :
- با آگاهی کامل بدانید کدام موارد بیشتر در معرض خطر هستند
- با اتوماسیون امنیتی هوشمند که خط مشی ها را تنظیم کرده و دفاع شما را به صورت پویا سخت می کند، سریعاً به حملات واکنش نشان دهید
- با فعالیت شبکه و اند پوینت ها، فعالیت های مشکوک را بهتر تشخیص دهید
- کاهش زمان از تشخیص تا پاکسازی با امنیت بازنگری شده که به طور مداوم فعالیت ها و رفتار های مشکوک را حتی پس از بازرسی اولیه کنترل می کند
- سهولت مدیریت و کاهش پیچیدگی با سیاست های یکپارچه ای که از کل حملات محافظت می کند
آسیب پذیری ها و نقاط ضعف
فایروال های کمتر پیشرفته-برای مثال نوع packet-filtering-در برابر حملات سطح بالاتر آسیب پذیر هستند زیرا از DPI برای بررسی کامل بسته ها استفاده نمی کنند. NGFW ها برای رفع این آسیب پذیری معرفی شدند. با این حال، NGFW ها هنوز با چالش هایی روبرو هستند و در برابر تهدید های در حال توسعه، آسیب پذیر هستند. به همین دلیل، سازمان ها باید آنها را با سایر اجزای امنیتی مانند سیستم های تشخیص نفوذ و سیستم های جلوگیری از نفوذ هماهنگ کنند. چند نمونه از تهدیدهای مدرن که ممکن است یک فایروال در برابر آنها آسیب پذیر باشد عبارتند از :
حملات داخلی : سازمان ها می توانند از فایروال های داخلی همراه با فایروال محیطی برای تقسیم بندی شبکه و ارائه حفاظت داخلی استفاده کنند. در صورت مشکوک بودن به حمله، سازمان ها می توانند با استفاده از ویژگی های NGFW حساسیت و دقت را افزایش دهند. تمام تغییرات باید تا اسناد اولیه در سازمان اندازه گیری شود که بهترین شیوه های استفاده از شبکه سازمان را مشخص می کند. برخی از مثال های رفتاری که ممکن است نشان دهنده تهدید داخلی باشد شامل موارد زیر است :
- انتقال داده های حساس در متن ساده
- دسترسی به منابع خارج از ساعات کاری
- خرابی دسترسی حساس منابع توسط کاربر
- دسترسی به منابع شبکه شخص ثالث
حملات انکار سرویس توزیع شده (DDos) : حمله DDoS تلاشی مخرب برای ایجاد اختلال در ترافیک عادی شبکه هدف با غلبه بر هدف یا زیرساخت های اطراف آن با زیاد کردن ترافیک است. از چندین سیستم رایانه ای آسیب دیده به عنوان منابع ترافیک حمله استفاده می شود.
ماشین های مورد بهره برداری می توانند شامل کامپیوتر ها و سایر منابع شبکه مانند دستگاه های اینترنت (IoT) باشند. حمله DDoS مانند یک ترافیک است که مانع از رسیدن ترافیک منظم به مقصد مورد نظر می شود. نگرانی اصلی در کاهش حمله DDoS تمایز بین حمله و ترافیک معمولی است. در بسیاری از موارد، ترافیک در این نوع حمله می تواند از منابع به ظاهر بدون مشکل ایجاد شود و نیاز به بررسی و بررسی متقابل چندین فاکتور امنیتی دارد.
بدافزار : تهدیدات بدافزار متنوع، پیچیده و در کنار فناوری امنیتی و شبکه هایی که از آنها محافظت می کند، دائماً در حال تکامل و تغییر هستند. با پیچیدگی و پویایی شبکه ها با ظهور اینترنت IoT، دفاع برای فایروال ها دشوارتر می شود.
پچینگ/پیکربندی : یک فایروال با پیکربندی ضعیف یا بروزرسانی از دست رفته از طرف فروشنده می تواند برای امنیت شبکه مضر باشد. مدیران فناوری اطلاعات باید در حفظ اجزای امنیتی خود فعال باشند.
فایروال مجازی
یک فایروال مجازی معمولاً به عنوان یک ابزار مجازی در یک ابر خصوصی (VMware ESXi ، Microsoft Hyper-V ، KVM) یا ابر عمومی (AWS ، Azure ، Google ، Oracle) برای نظارت و ایمن سازی ترافیک در شبکه های فیزیکی و مجازی استفاده می شود. فایروال مجازی اغلب جز کلیدی در شبکه های تعریف شده از نرم افزار (SDN) است.
فروشندگان Firewall
شرکت هایی که به دنبال خرید فایروال هستند باید از نیاز های خودشان آگاه بوده و ساختار شبکه خود را درک کنند. انواع، ویژگی ها و فروشندگان مختلفی وجود دارد که در انواع مختلف تخصص دارند. ابتدا چندین نمونه خارجی را بررسی می کنیم.
پالو آلتو : پوشش گسترده اما ارزان نیست.
SonicWall : قیمت خوبی دارد و دارای طیف وسیعی از شرکت های بزرگ است که می تواند برای آنها کار کند. SonicWall راه حل هایی برای شبکه های کوچک، متوسط یا بزرگ دارد. تنها نقص آن این است که تا حدودی فاقد ویژگی های ابر است.
Cisco : بزرگترین و بیشترین ویژگی ها برای NGFW اما ارزان هم نیست.
Sophos : برای شرکت های متوسط خوب است و استفاده از آن آسان است.
Barracuda : قیمت مناسب، مدیریت عالی، پشتیبانی و ویژگی های ابری.
Fortinet : پوشش گسترده، قیمت عالی و برخی از ویژگی های ابر.
این موارد نمونه ای از فروشندگان خارجی بودند اما افراد داخل ایران می توانند جهت خرید و راهنمایی بیشتر در خصوص فایروال ها با کارشناسان شرکت هنر توسعه و ارتباطات شایگان در ارتباط باشند.
آینده امنیت شبکه
در روزهای اولیه اینترنت، هنگامی که استیون ام بلووین از AT & T برای اولین بار از استعاره فایروال استفاده کرد، ترافیک شبکه عمدتا از شمال به جنوب جریان داشت. این به این معنا است که بیشتر ترافیک در یک مرکز داده از مشتری به سرور و سرور به سرویس گیرنده جریان داشت. با این حال، در چند سال گذشته، مجازی سازی و روند هایی مانند زیرساخت های همگرا ترافیک بیشتری از شرق به غرب ایجاد کرده است، به این معنی که گاهی اوقات بیشترین حجم ترافیک در یک مرکز داده از سرور به سرور منتقل می شود.
برای مقابله با این تغییر، برخی از سازمان ها، از معماری مرکز داده سه لایه سنتی به اشکال مختلف معماری leaf-spine مهاجرت کرده اند. این تغییر در معماری باعث شده است که برخی از کارشناسان امنیتی هشدار دهند که در حالی که فایروال ها هنوز نقش مهمی در حفظ امنیت شبکه دارند، اما خطر کم اثر شدن آنها نیز وجود دارد. حتی برخی از کارشناسان به طور کلی خروج از مدل سرور سرویس گیرنده را پیش بینی می کنند.
یکی از راه حل های احتمالی استفاده از محیط های تعریف شده توسط نرم افزار (SDP) است. SDP بیشتر مناسب معماری های مجازی و مبتنی بر ابر است، چون تاخیر کمتری نسبت به فایروال دارد. این امر به این دلیل است که بر امنیت دسترسی کاربر تأکید دارد تا دسترسی مبتنی بر آدرس IP.
منابع: Cisco، searchsecurity و forcepoint